I may be late to the party, but I&#39;ve been part of several agile projects and what I find a need for is new tools. †I&#39;d like tools to test my code for security issues per build, like the suite of unit tests that we develop in a TDD project, I&#39;d like something that I can plug in to fuzz my code, test security controls, let me script attacks in the IDE etc per build, on a continuous integration server. †I may be able to do it with my current framework test by test, but it would be better for a set of tests and logic from a group of security minded folks. † Maybe a library of security functions and a wizard to parse source code and create security unit tests? Has anyone seen anything like this (or does anyone see a need for this)?<div>
<br></div><div>Pseudo code (fuzz in terms of trying to break object encapsulation rules):</div><div><br></div><div>[TestMethod]</div><div>[ExpectedException(BadDataException)]</div><div>public void fuzzProperty()</div><div>
{</div><div>SampleClass classInstance = new SampleClass();</div><div>fuzzer.fuzzString(class.SampleProperty); //fuzzer is part of the security objects that we provide</div><div><br></div><div>Assert.False(class.SampleProperty.length &gt; 0);</div>
<div><br></div><div>}</div><div><br></div><div><br><div class="gmail_quote">On Thu, Mar 5, 2009 at 4:15 PM, Dan Cornell <span dir="ltr">&lt;<a href="mailto:dan@denimgroup.com">dan@denimgroup.com</a>&gt;</span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">










<div lang="EN-US" link="blue" vlink="purple">

<div>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt"><div class="im">

<p><span style="font-size:10.0pt">A peer of
mines sent me this link: </span><a href="http://www.infoworld.com/article/09/02/26/How_to_achieve_more_Agile_application_securit_1.html?source=NLC-SEC&amp;cgd=2009-03-02" target="_blank"><span style="font-size:10.0pt">http://www.infoworld.com/article/09/02/26/How_to_achieve_more_Agile_application_securit_1.html?source=NLC-SEC&amp;cgd=2009-03-02</span></a></p>


<p><span style="font-size:10.0pt">But also
asked me a question of why aren&#39;t security types embracing agile methods and
lighter-weight methodologies? Any thoughts on CLASP guidance when
compared/contrasted against the Agile Manifesto?</span></p>

<pre><span style="color:#1F497D">†</span></pre></div><pre><span style="font-size:11.0pt;color:red">I used to run a blog at <a href="http://www.agileandsecure.com/" target="_blank"><span style="color:red">http://www.agileandsecure.com/</span></a> for a while but got too busy to keep it up.† I looked at some of the seminal Agile documents like the Agile Manifesto and commented on how they related to security.</span></pre>
<pre><span style="font-size:11.0pt;color:red">†</span></pre><pre><span style="font-size:11.0pt;color:red">The blog is still up and has links to some presentations we gave on the topic.† I have some more material from clients we worked with on these issues that I just havenít had time to clean up and post.</span></pre>
<pre><span style="font-size:11.0pt;color:red">†</span></pre><pre><span style="font-size:11.0pt;color:red">Thanks,</span></pre><pre><span style="font-size:11.0pt;color:red">†</span></pre><pre><span style="font-size:11.0pt;color:red">Dan</span></pre>
<pre><span style="font-size:11.0pt;color:#1F497D">†</span></pre></div>

</div>

</div>


<br>_______________________________________________<br>
OWASP-Leaders mailing list<br>
<a href="mailto:OWASP-Leaders@lists.owasp.org">OWASP-Leaders@lists.owasp.org</a><br>
<a href="https://lists.owasp.org/mailman/listinfo/owasp-leaders" target="_blank">https://lists.owasp.org/mailman/listinfo/owasp-leaders</a><br>
<br></blockquote></div><br></div>